30 мая в России вступил в силу закон, который значительно ужесточает меры наказания за утечку персональных данных. Сумма штрафа заставляет вздрагивать и, в зависимости от количества и качества утраченных сведений, варьируется от 100 000 до 20 миллионов рублей. При повторной утечке, повторившейся в течение года, штраф будет составлять от 1% до 3% годовой выручки, при этом его минимальный размер не может быть ниже 20 миллионов рублей.
Сфера здравоохранения на сегодняшний день является одной из самых «богатых» на персональные данные. Сведения, хранящиеся в системах больниц и санаториев, относятся к сугубо частной жизни человека и представляют для мошенников особый интерес. Нередки случаи, когда в продаже особо ценных данных мошенниками был замечен и медицинский персонал.
Как главные врачи здравниц могут минимизировать риски утечки и повысить безопасность, выясняем вместе со специалистом Дирекции «Медицина» IT-компании «Первый Бит» Дмитрием Новиком.
Общая ответственность
«В первую очередь, нужно понимать, что сегодня информационная безопасность — это сфера, в которой должны активно участвовать как юристы, так и IT-специалисты. Делать ответственным лицом только одного человека – нецелесообразно, поскольку последствия утечки могут коснуться всех. Санаторий, больница как оператор персональных данных несут особую ответственность за их охрану, поэтому необходимо постоянно отслеживать и контролировать все процессы, связанные с обработкой данных. Проблемы в обмене между системами могут возникнуть случайно, и нужно оперативно реагировать на любые сбои. Важно иметь в наличии все необходимые законодательные документы и регулярно проводить обучение всех сотрудников. По статистике, именно рядовые сотрудники в 81% случаев допускают ошибки, приводящие к утечкам данных. Даже единичный случай получения доступа к данным пациента может стать серьезной проблемой для всего медицинского учреждения. И, кстати, просто обучения не всегда достаточно, необходим контроль знаний, особенно если эти люди назначены ответственными за организацию обработки данных – они должны полностью понимать все процессы», — поясняет Дмитрий Новик.
Разумеется, в здравоохранении нередки случаи, когда базы данных взламывают мошенники. Согласно данным компании, 25% всех заражений в медицине происходят из-за действий хакеров. Это означает, что злоумышленники постоянно наращивают свои компетенции, и проблема защиты данных с каждым годом становится всё актуальнее.
Любое медицинское учреждение — это компания с большим IT-компонентом, и в случае обнаружения утечки необходимо внимательно изучить следы в системе и проанализировать их по XML (Extensible Markup Language — расширяемый язык разметки, который используется для хранения и передачи структурированных данных). Как правило, хакеры берут стороннюю базу данных, добавляют свои сведения, заявляют, что это данные клиники, и требуют денег за возврат. Однако на самом деле это просто обогащённая чужая база, проданная мошенникам, и все это можно отследить по следам в системе или просто сравнив вручную несколько параметров личных данных.
В случае же, если база реально взломана, необходимо уведомить Роскомнадзор и разработать свои внутренние контролирующие мероприятия. И здесь нужно знать, что с 30 мая 2025 года вступает в силу ещё один закон, по которому за отсутствие уведомления об утечке грозит штраф до 400 тысяч рублей. Но и это еще не всё.
Опять же, с 30 мая все, кто собирает и обрабатывает персональные данные, становятся операторами персональных данных и обязаны сообщить об этом в Роскомнадзор. Нет уведомления — опять штраф, и на этот раз — 300 000 рублей.
Какие методы используют мошенники
Дмитрий Новик отмечает, что среди «медицинских хакеров» популярна такая практика, как «пробив» — когда злоумышленники пытаются получить данные о конкретном пациенте для рекламы и шантажа. Раньше от этого страдали только операторы сотовой связи, а теперь еще и сфера здравоохранения.
Также в топ противозаконных методов входят шифровальщики — вредоносные программы, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере. Майнеры криптовалют — вредоносные боты, добывающие криптовалюту, используя вычислительные мощности устройства без ведома его владельца. И шпионское программное обеспечение, цель которого также добыча персональных данных через незаметное проникновение на устройство.
«Как можно с этим бороться? Основа безопасности — это гигиенические процедуры. IT-инфраструктура должна быть правильно настроена, средства защиты должны быть доступны только определенным сотрудникам, а их обучение проводится регулярно. Когда количество утечек увеличивается, это должно стать маркером для усиления мер безопасности. Важно понимать, что последствия взлома порой очень трудно устранить. Например, исходя из нашей практики, после внедрения шифровальщика зашифрованные данные удавалось расшифровать только в 1% случаев. А рассчитывать на то, что после оплаты мошенники предоставят вам ключ, и вовсе не стоит. Поэтому лучше всего максимально работать над защитой», — объясняет эксперт.
Цена вопроса
Вопрос информационной безопасности неизменно упирается в вопрос цены. Дмитрий Новик отмечает, что стоимость нужного оборудования и ПО можно посчитать в зависимости от количества рабочих мест. Если в компании до 20 рабочих мест — достаточно 100 000 рублей; от 20 до 50 рабочих мест — придется потратить порядка 250 000 рублей; от 50 рабочих мест и более — вложения составят от 500 000 рублей и более.
«Мы часто слышим, что вложения в инфобез – это бездонная бочка. Отчасти это так, поскольку виды хакерских атак постоянно совершенствуются. В этом сегменте нет такого понятия, что один раз деньги вложили и всё работает. Вложения, отслеживание изменений, поиск слабых мест в системе нужны постоянно. И, кстати, не всегда для этого нужен специалист, сегодня созданы хорошие роботы, способные искать уязвимости на платформах. Если внутренних ресурсов у компании не хватает, то нужно заказать аудит. В любом случае, при грядущем повышении штрафов компаниям выгоднее вкладывать в безопасность, ведь последствия утечек – это не только финансовые потери, проверки Роскомнадзора, но и подрыв репутации и доверия пациентов», — заключает Дмитрий Новик.
Фото: freepik
